Hvordan fungerer Kerberos-autentisering?

by
Tweet
Share
Share
Pin
0 Shares

Selv om Kerberos er et back-end-system, er det så sømløst integrert at de fleste brukere eller administratorer overser dets eksistens.

Hva er Kerberos, og hvordan fungerer det?

Hvis du bruker e-post eller andre nettjenester som krever pålogging for å få tilgang til ressurser, er sjansen stor for at du autentiserer deg gjennom Kerberos-systemet.

Den sikre autentiseringsmekanismen kjent som Kerberos garanterer sikker kommunikasjon mellom enheter, systemer og nettverk. Hovedmålet er å beskytte dine data og påloggingsinformasjon fra hackere.

Kerberos støttes av alle populære operativsystemer, inkludert Microsoft Windows, Apple macOS, FreeBSD og Linux.

En sikkerhetsmodell på fem nivåer brukt av Kerberos omfatter gjensidig autentisering og symmetrisk nøkkelkryptering. Å verifisere sin identitet gjør det mulig for autoriserte brukere å logge seg på et system.

Den kombinerer en sentral database og kryptering for å bekrefte legitimiteten til brukere og tjenester. Kerberos-serveren autentiserer først en bruker før den gir dem tilgang til en tjeneste. De får deretter utstedt en billett de kan bruke for å få tilgang til tjenesten hvis de er autentisert.

Kerberos er i hovedsak avhengig av «billetter» for å tillate brukere å kommunisere med hverandre på en sikker måte. Kerberos-protokollen bruker et nøkkeldistribusjonssenter (KDC) for å etablere kommunikasjon mellom klienter og servere.

Når du bruker Kerberos-protokollen, mottar serveren en forespørsel fra klienten. Etter det svarer serveren med et svar som inneholder et token. Klienten sender deretter en forespørsel til serveren og billetten.

Det er en viktig metode som garanterer sikkerheten til data som overføres på tvers av systemer. Den ble utviklet av Massachusetts Institute of Technology (MIT) i 1980 for å løse problemet med usikrede nettverksforbindelser og er nå inkludert i mange forskjellige systemer.

I denne artikkelen skal vi se nærmere på Kerberos-fordeler, praktiske applikasjoner, hvordan det fungerer trinn for trinn, og hvor trygt det er.

Fordeler med Kerberos-autentisering

I et stort, distribuert datamiljø kan datasystemer trygt identifisere og kommunisere med hverandre på grunn av nettverksautentiseringsprotokollen kjent som Kerberos.

Ved å bruke hemmelig nøkkelkryptering er Kerberos ment å tilby robust autentisering for klient-/serverapplikasjoner. Denne protokollen legger grunnlaget for applikasjonssikkerhet, og SSL/TLS-kryptering brukes ofte i kombinasjon med den.

  Slik starter du ruteren og modemet på nytt

Den mye brukte autentiseringsprotokollen Kerberos tilbyr flere fordeler som kan gjøre den mer attraktiv for SMB-er og store selskaper.

For det første er Kerberos utrolig pålitelig; den har blitt testet mot noen av de mest komplekse angrepene og har vist seg immun mot dem. Dessuten er Kerberos enkel å sette opp, bruke og integrere i flere systemer.

Unike fordeler

  • Et unikt billettsystem brukt av Kerberos muliggjør raskere autentisering.
  • Tjenester og klienter kan gjensidig autentisere hverandre.
  • Autentiseringsperioden er spesielt sikker på grunn av det begrensede tidsstempelet.
  • Oppfyller kravene til moderne distribuerte systemer
  • Gjenbrukbar mens billetttidsstemplet fortsatt er gyldig, forhindrer Autentisitet brukere fra å måtte angi påloggingsinformasjonen på nytt for å få tilgang til andre ressurser.
  • Flere hemmelige nøkler, tredjeparts autorisasjon og kryptografi gir førsteklasses sikkerhet.

Hvor trygt er Kerberos?

Vi har sett at Kerberos bruker en sikker autentiseringsprosess. Denne delen vil utforske hvordan angripere kan krenke Kerberos-sikkerheten.

I mange år har den sikre Kerberos-protokollen vært i bruk: Som en illustrasjon, siden utgivelsen av Windows 2000, har Microsoft Windows gjort Kerberos til standard autentiseringsmekanisme.

Kerberos-autentiseringstjenesten bruker hemmelig nøkkelkryptering, kryptografi og pålitelig tredjepartsautentisering for å beskytte sensitive data på en vellykket måte under overføring.

For å øke sikkerheten brukes Advanced Encryption Standard (AES) av Kerberos 5, den nyeste versjonen, for å sikre sikrere kommunikasjon og unngå datainntrenging.

Den amerikanske regjeringen har tatt i bruk AES fordi den er spesielt effektiv til å beskytte sin hemmelige informasjon.

Imidlertid hevdes det at ingen plattformer er helt trygge, og Kerberos er intet unntak. Selv om Kerberos er det sikreste, må bedrifter hele tiden sjekke angrepsoverflaten for å beskytte seg mot å bli utnyttet av hackere.

Som et resultat av den brede bruken, streber hackere etter å avdekke sikkerhetshull i infrastrukturen.

Her er noen typiske angrep som kan forekomme:

  • Golden Ticket-angrep: Det er det mest skadelige angrepet. I dette angrepet kaprer angripere en ekte brukers nøkkeldistribusjonstjeneste ved å bruke Kerberos-billetter. Den retter seg først og fremst mot Windows-miljøer med Active Directory (AD) i bruk for tilgangskontrollprivilegier.
  • Sølvbillettangrep: En falsk tjenestegodkjenningsbillett omtales som en sølvbillett. En hacker kan produsere en sølvbillett ved å dechiffrere et passord for en datamaskinkonto og bruke det til å lage en falsk autentiseringsbillett.
  • Send billetten: Ved å generere en falsk TGT, konstruerer angriperen en falsk øktnøkkel og presenterer den som en legitim legitimasjon.
  • Pass på hash-angrepet: Denne taktikken innebærer å skaffe NTLM-passord-hashen til en bruker og deretter overføre hashen for NTLM-autentisering.
  • Kerberoasting: Angrepet tar sikte på å samle passord-hasher for Active Directory-brukerkontoer med servicePrincipalName (SPN)-verdier, for eksempel tjenestekontoer, ved å misbruke Kerberos-protokollen.
  Hvordan reparere en bue i Minecraft

Kerberos risikoreduksjon

Følgende avbøtende tiltak vil hjelpe til med å forhindre Kerberos-angrepene:

  • Ta i bruk moderne programvare som overvåker nettverket døgnet rundt og identifiserer sårbarheter i sanntid.
  • Minste privilegium: Den sier at bare de brukerne, kontoene og dataprosessene skal ha tilgangstillatelser som er nødvendige for at de skal kunne utføre jobben sin. Ved å gjøre dette vil uautorisert tilgang til servere, hovedsakelig KDC Server og andre domenekontrollere, bli stoppet.
  • Overvinn programvaresårbarheter, inkludert nulldagssårbarheter.
  • Kjør den beskyttede modusen til Local Security Authority Subsystem Service (LSASS): LSASS er vert for forskjellige plugins, inkludert NTLM-autentisering og Kerberos, og er ansvarlig for å gi brukere enkeltpåloggingstjenester.
  • Sterk autentisering: Standarder for passordoppretting. Sterke passord for administrative, lokale og tjenestekontoer.
  • DOS-angrep (Denial of Service): Ved å overbelaste KDC med autentiseringsforespørsler, kan en angriper starte et tjenestenektangrep (DoS). For å forhindre angrep og balansere belastningen, bør KDC plasseres bak en brannmur, og ytterligere redundant KDC-redundant bør distribueres.

Hva er trinnene i Kerberos-protokollflyten?

Kerberos-arkitekturen består primært av fire essensielle elementer som håndterer alle Kerberos-operasjoner:

  • Autentiseringsserver (AS): Kerberos-autentiseringsprosessen begynner med autentiseringsserveren. Klienten må først logge inn på AS med brukernavn og passord for å etablere sin identitet. Når dette er ferdig, sender AS brukernavnet til KDC, som deretter utsteder en TGT.
  • Nøkkeldistribusjonssenter (KDC): Dens jobb er å tjene som et bindeledd mellom Autentiseringsserveren (AS) og Ticket Granting Service (TGS), videresende meldinger fra AS og utstede TGT-er, som deretter sendes til TGS for kryptering.
  • Ticket-Granting Ticket (TGT): TGT er kryptert og inneholder informasjon om hvilke tjenester klienten har tilgang til, hvor lenge tilgangen er autorisert og en øktnøkkel for kommunikasjon.
  • Ticket Granting Service (TGS): TGS er en barriere mellom klienter som eier TGT og nettverkets ulike tjenester. TGS etablerer deretter en sesjonsnøkkel etter autentisering av TGT som er delt av serveren og klienten.
  Hvordan kjøre bash-skript ved hjelp av Python?

Følgende er den trinnvise flyten av Kerberos-autentiseringen:

  • Brukerinnlogging
  • En klient ber om serveren som gir billetter.
  • En server sjekker brukernavnet.
  • Retur av klientens billett etter bevilgningen.
  • En klient får TGS-sesjonsnøkkelen.
  • En klient ber serveren om tilgang til en tjeneste.
  • En server sjekker tjenesten.
  • TGS-øktnøkkel hentet av serveren.
  • En server oppretter tjenesteøktnøkkel.
  • En klient mottar tjenesteøktnøkkelen.
  • En klient kontakter tjenesten.
  • Tjenesten dekrypterer.
  • Service sjekker forespørselen.
  • Tjenesten er autentisert til klienten.
  • En klient bekrefter tjenesten.
  • En klient og tjeneste samhandler.

Hva er virkelige applikasjoner som bruker Kerberos?

På en moderne internettbasert og tilkoblet arbeidsplass er Kerberos betydelig mer verdifull fordi den er utmerket på Single-Sign-On (SSO).

Microsoft Windows bruker for tiden Kerberos-autentisering som standard godkjenningsmetode. Kerberos støttes også av Apple OS, FreeBSD, UNIX og Linux.

I tillegg har det blitt en norm for nettsteder og Single-Sign-On-applikasjoner på tvers av alle plattformer. Kerberos har økt sikkerheten til internett og dets brukere samtidig som det lar brukere utføre flere oppgaver online og på kontoret uten å risikere sikkerheten deres.

Populære operativsystemer og programvare inkluderer allerede Kerberos, som har blitt en viktig del av IT-infrastrukturen. Det er Microsoft Windows sin standard autorisasjonsteknologi.

Den bruker sterk kryptografi og tredjeparts billettautorisasjon for å gjøre det vanskeligere for hackere å få tilgang til et bedriftsnettverk. Organisasjoner kan bruke internett med Kerberos uten å bekymre seg for å sette sikkerheten i fare.

Den mest kjente applikasjonen til Kerberos er Microsoft Active Directory, som kontrollerer domener og utfører brukerautentisering som en standard katalogtjeneste inkludert i Windows 2000 og nyere.

Apple, NASA, Google, det amerikanske forsvarsdepartementet og institusjoner over hele landet er blant de mer bemerkelsesverdige brukerne.

Nedenfor er noen eksempler på systemer med innebygd eller tilgjengelig Kerberos-støtte:

  • Amazon Web Services
  • Google Cloud
  • Hewlett Packard Unix
  • IBM Advanced Interactive leder
  • Microsoft Azure
  • Microsoft Windows Server og AD
  • Oracle Solaris
  • OpenBSD

Tilleggsressurser

Konklusjon

Den mest brukte autentiseringsmetoden for å beskytte klient-server-tilkoblinger er Kerberos. Kerberos er en symmetrisk nøkkelautentiseringsmekanisme som tilbyr dataintegritet, konfidensialitet og gjensidig brukerautentisering.

Det er grunnlaget for Microsoft Active Directory og har vokst til å bli en av protokollene som angripere av alle slag målretter mot for utnyttelse.

Deretter kan du sjekke ut verktøy for å overvåke helsen til Active Directory.